Nel mio precedente articolo vi avevo parlato del deface avvenuto sul sito delle Poste Italiane e del motivo che aveva spinto i due autori del deface a fare quello che avevano fatto.

I commenti sono stati molti, tutti costruttivi, ma la cosa più soddisfacente è che tutti avete espresso una vostra opinione. Alcuni di voi sostenevano che i dati non erano assolutamente in pericolo e che mai nessuno avrebbe potuto rubarli e che il deface serviva solo a spargere panico e a permettere a due ragazzini di avere il loro momento di gloria e la loro notorietà.

Effettivamente, prove concrete a parte il deface ne avevamo poche, tant’è che avevo suggerito che l’unica prova certa sarebbero stati i log, fino ad ora.

Oggi stavo vagando in giro per i siti che visito di solito, quando mi sono imbattuto in un articolo di Zeus News, che si proponeva di capire quale tipo di attacco avesse subito il sito delle Poste e per capirlo è stato analizzato il risultato di un penetration test fatto agli inizi di settembre, che ha dimostrato la vulnerabilità di poste.it ad attacchi di tipo SQL Injection.

Dal penetration test è emerso inoltre (e questo è il dato più sconcertante) che è possibile risalire agli account degli utenti, ottenendo nomi, cognomi, username e password e addirittura sapere chi sono gli utenti gestori del database.

Bene, ora le prove che gli account erano in pericolo le abbiamo e sappiamo che non era tutto panico ingiustificato, inoltre sappiamo che la falla esisteva da molto prima del deface e che non è stata riparata.

E se Mr. Hipo e StutM fossero stati davvero due malintenzionati? Per fortuna non c’è bisogno di porci questa domanda.

Piuttosto, ora che c’è una prova in più cosa ne pensate? Siete ancora convinti che il panico fosse ingiustificato? È possibile ancora sostenere che i dati degli utenti fossero al sicuro? Aspetto i vostri commenti!